[发明专利]一种多CPU架构下的多网络安全审计方法和系统

摘要

本发明是一种多CPU架构下的多网络安全审计方法和系统，以多网卡多处理器的普通设备来代替高性能服务器或者集群，实现对多子业务网络的审计。本发明根据网卡数量和CPU数量运行多个网络审计监听程序，手动设置CPU亲和性，设置CPU的亲和性是指进程可以在指定CPU上运行，并且能够根据需要在处理器之间进行迁移，进程绑定CPU的过程，各个网络监听程序根据一定算法，运行在不同CPU上，运行一个业务周期(默认一个星期，主要按照业务流量来确定周期)，根据网络流量、峰值、CPU使用率等数据来重新调整各个程序CPU的亲和性，充分利用CPU的处理能力，完成复杂的审计工作。

主权项

一种多CPU架构下的多网络安全审计系统，包括宿主服务器和网络设备，其特征在于：该系统由审计引擎和业务网络审计系统的WEB服务模块(5)组成，其中，审计引擎是由启动模块(1)、通讯模块(2)、协调控制模块(3)和子业务网络嗅探器(4)组成，其中：启动模块(1)是其它模块的创建和初始化模块，从宿主服务器获取网卡信息和处理器信息，确定子业务网络嗅探器(4)启动方式和CPU亲和性；通讯模块(2)分别连接子业务网络嗅探器(4)和业务网络审计系统的WEB服务模块(5)，通过通讯模块(2)，子业务网络嗅探器(4)能够实时获得业务网络审计系统的WEB服务模块(5)下发的实时策略，并且能够实时的更新审计策略；协调控制模块(3)与子业务网络嗅探器(4)连接，用于根据实际流量再次调整子业务网络嗅探器(4)的CPU亲和性；子业务网络嗅探器(4)的作用是以混杂模式从子网络捕获数据包、经过会话管理分配不同的数据包到处理及规则模块中，获取所需要的信息，它是由抓包模块(6)、会话管理模块(7)和数据包处理及规则匹配模块(8)组成，其中：抓包模块(6)与会话管理模块(7)连接，用于从子网络捕获数据包；会话管理模块(7)与数据包处理及规则匹配模块(8)连接，将从子网络捕获数据包进行会话处理；数据包处理及规则匹配模块(8)用于数据包处理及规则匹配，从中获取符合要求的数据。